Взлом сетей крупных компаний угрожает и России
Компания SafeNet, крупнейший американский разработчик систем информационной безопасности, опубликовала квартальный отчет о взломах сетей крупных организаций, повлекших утечку данных их клиентов. Главной мишенью становится финансовая сфера.
Информация о частных лицах становится все более ликвидным товаром и, соответственно, вокруг нее возрастает криминальная активность. В I квартале 2014 года число утечек данных выросло на 233% по сравнению с аналогичным периодом прошлого года. В среднем в начале года случалось три инцидента в день, в которых утекали 2,2 млн записей — и это только верхушка айсберга, ведь многие компании стараются скрыть подобные происшествия.
Если сложить число украденных записей разного рода во всех известных инцидентах, лишь за первые три месяца этого года получится более 200 млн. Среди них есть все, что стоит воровать: паспортные данные, данные платежных карт, контактная информация, логины и пароли для различных
Статистика SafeNet показывает, что 74% известных инцидентов произошли в США, 13% в Европе, и 7% в
Лидером в этом невеселом соревновании стало южнокорейское кредитное бюро KCB, из сети которого было украдено 104 млн записей. Среди них были данные платежных карт 20 млн корейцев (это при 50 млн населения Южной Кореи!). Казалось бы, компания, чей бизнес — информация, должна ответственно подходить к ее защите. Однако в KCB о факте утечки узнали уже от следователей, которые явились, чтобы допросить сотрудников компании.
Как оказалось, данные хранились в незашифрованном виде, защищенные со стороны Интернета, но доступные изнутри сети компании. Этим и воспользовался злоумышленник, явившийся в компанию под видом специалиста технической поддержки. Скопировав все интересующие его базы данных на простую
SafeNet приводит весьма интересную статистику касательно непосредственных исполнителей взлома. На первом месте (61% случаев) стоит классический взлом, когда финансово мотивированная группа хакеров проникает в сеть компании через Интернет. В 25% случаев никакого взлома не было: конфиденциальность утрачивалась непреднамеренно,
Случается, что данные попадают не в те руки по обычным рабочим каналам, без всяких взломов. Очень показательна история с крупнейшим нелегальным сервисом по продаже данных частных лиц superget.info. Владелец сервиса, вьетнамец по фамилии Нго, еще в 2008 году стал клиентом американской компании Court Ventures, специализирующейся на агрегировании публичных данных, полученных от различных госслужб. Выдавая себя за сингапурского частного детектива, он периодически приобретал информацию об американцах для своего сервиса. Ничего особенно конфиденциального (например, о ведущемся в отношении гражданина судопроизводстве), но
Вскоре на Нго свалилось нежданное счастье — Court Ventures заключила соглашение об обмене данными с US Info Search, что значительно расширило полноту данных, предоставляемых обеими компаниями своим клиентам. И наконец, в 2012 году Court Ventures была приобретена Experian, одним из крупнейших бюро кредитных историй. Все клиенты Court Ventures, включая Нго, автоматически получили доступ к базе данных Experian. В результате за последовавшие полтора года через сервис superget.info было продана исчерпывающая информация более чем о 30 млн американцев — и это без всякого взлома, практически на легальной основе. Впрочем, это обстоятельство не уберегло Нго от ареста, а Experian — от публичного скандала, последствия которого будут еще долго сказываться на репутации компании.
К сожалению, в отчете SafeNet ничего не рассказано о кражах информации из российских компаний. Дело тут в различиях законодательного характера. В 46 штатах США, в Австралии, Южной Корее и странах Евросоюза компании обязаны публиковать данные о взломах и компрометации данных клиентов. В России таких норм пока нет.
Об отечественной практике в этой области порталу Банки.ру рассказал заместитель руководителя лаборатории компьютерной криминалистики компании
В целом никто не стремится афишировать взломы своей сети. Репутационный риск обычно оценивается даже выше, чем непосредственный ущерб от взлома, поэтому пострадавшие компании чаще всего не обращаются в полицию. Компании рассказывают о том, какие именно данные утекли, лишь в том случае, если факт взлома уже всплыл
Однако, по словам Никитина, если речь идет о персональных данных частных лиц, скрывать такое может быть рискованно: "Сейчас у нас действует
Даже если компания заявила в правоохранительные органы о взломе и краже данных клиентов, далеко не всегда сами клиенты об этом узнают. Пока идет расследование, эти сведения обычно считаются тайной следствия, и за это время злоумышленники нередко успевают использовать украденные данные по своему усмотрению".
Картина складывается откровенно безрадостная. Мало того, что наша ценная информация, начиная с паспортных данных и заканчивая сведениями, дающими доступ к банковскому счету, может быть украдена любым из десятков способов — так мы об этом еще и не узнаем до тех пор, пока не становится слишком поздно.
Отчет SafeNet показывает статистику лишь за I квартал этого года. Между тем в апреле произошел инцидент, пошатнувший самые основы информационной безопасности в Интернете — были обнародованы сведения об уязвимости Heartbleed. Эта уязвимость, до сих пор присутствующая на многих сервисах, многократно расширила возможности хакеров и облегчила их работу. Достаточно вспомнить скандал с утечкой данных банковских карт с платежного шлюза ВТБ 24, использующегося на сайте РЖД для электронной оплаты билетов. Судя по всему, отчет за II квартал покажет уже не 233% роста, а все 500% и более.
Руководитель отдела расследования компьютерных инцидентов "Лаборатории Касперского" Руслан Стоянов рассказал порталу Банки.ру, почему сложилась такая ситуация:
"Проблема в том, что есть ответственность за нарушение правил работы с персональными данными, но нет ответственности за их утечку. Выполнил все требования регуляторов — ты чист, даже если произошла утечка. Киберпреступники всегда опережают законодательство в этой области, и даже при соблюдении всех правил утечки то и дело случаются. Но у компаний нет стимула ни расследовать инциденты, ни совершенствовать свою систему безопасности. Отчитались о соблюдении всех нормативов и требований — работаем дальше.
А вот если у нас сделать как на Западе, возложить полную ответственность на компании, работающие с персональными данными, им придется вкладываться в предотвращение будущих инцидентов такого рода".
На вопрос "что делать?" однозначного ответа пока нет. Бурное развитие информационных сервисов сопровождается отсталостью культуры информационной безопасности. Технически защитить данные с достаточной степенью надежности вполне можно — но полного осознания важности этой проблемы пока нет. Будем надеяться, что оно придет; спасибо таким компаниям, как KCB и Experian.
Михаил ДЬЯКОВ, Banki.ru